1. 中毒后所有.exe执行文件均发生异常;
2. 中毒后系统分区生成很多垃圾文件;
3. 中毒后网络共享打印机生成“远程下层文档”异常队列;
4. 中毒后网络共享打印机自动打印内容为一行日期的空白页面;
5. 在所有文件夹下生成纯文件_desktop.ini,内容为一行日期;
6. 生成病毒文件
a) Program Files\svhost32.exe
b) Program Files\micorsoft\svhost32.exe
c) Windows\explorer.exe
d) windows\logo1_exe
e) windows\rundll32.exe
f) windows\rundl132.exe
g) windows\intel\rundl132.exe
h) windows\dll.dll
受影响的系统:
Windows 95, 98, ME, NT, 2000, XP_SP2和Server 2003_SP1
传播途径:
扫描administrator和guest帐号口令为空的计算机,并通过共享迅速传播。
病毒查杀:
采用Mcafee + Ewido + Logkill组合查杀;并手工免疫。
处理步骤:
1. 禁用系统还原,并删除相关备份文件;
2. 在安全模式下,使用已更新的Mcafee和Ewido扫描并查杀全盘;
3. 对被破坏的exe文件,使用Logkill尝试修复;
4. 为administrator和guest帐号设置非弱口令。
威金Worm.Viking病毒查杀及手工免疫
----------------------------------------
(以下描述可能对有经验的读者略显烦琐,请选择跳过或略读。)
第一步:安装Ewido v4.0.172
1. 解压缩Ewido v4.0.172 绿色汉化版.rar;
2. 执行并安装ewidoantispyware400172.exe;
3. 执行并汉化ewidoantispyware400172yywj_v2_kaci.exe;
4. 激活并注册,注册码70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY
请参考“使用说明.txt”。
第二步:升级Ewido v4.0.172
打开Ewido主程序,选择第二个标签“更新”,点击“开始更新”,待更新完成。
打开Ewido主程序,选择第三个标签“扫描器”,进行“完整系统扫描”,待扫描完成。
1. 使系统显示隐藏文件
打开“我的电脑”; 依次打开菜单“工具”-“文件夹选项”;然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态。最后“确定”完成即可。
2. 制作病毒免疫文件
A. 进入C:\WINDOWS目录,新建3个文件"logo1_.exe"、"rundl132.exe"、"vdll.dll";
B. 依次右键单击新创建的文件,选择“属性”,进入“安全”标签页;
C. 点击“高级”选项;
E. 在弹出的对话框中选择“删除”;
G. 在“输入对象名称来选择”文本框中输入 everyone,确定;
K. 按照上述方法将"logo1_.exe"、"rundl132.exe"、"vdll.dll"三个新建文件全部赋予everyone和SYSTEM的拒绝权限;
L. 完成免疫。
(以下部分摘自趋势科技病毒知识库)
到达、植入及自启动技术
在Windows 98和ME系统中,为使自身可以在每次系统启动时自动运行,病毒添加如下的注册表项目:
Current Version\Run
Load = "%Windows%\rundl132.exe"
在基于Windows NT(Windows NT, 2000, XP和Server 2003)的系统中,为使自身可以在每次系统启动时自动运行,病毒修改如下的注册表项目:
CurrentVersion\Windows
Load = "%Windows%\rundl132.exe"
作为自启动的一部分,病毒创建如下注册表键值:
Auto = "1"
这个文件感染型病毒可以通过网络共享进行传播。病毒会使用用户名为 administrator 和 guest,口令为空的账户信息,尝试登录如下网络共享,成功登录后会在共享中生成自身拷贝。
IPC$
文件感染
该病毒会搜索C到Z盘中的所有EXE文件,找到文件后将病毒代码前缀至文件中。但是,病毒会避免感染含有如下字符串的文件:
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
WindowsUpdate
winnt
进程终止
该病毒会寻找如下与安全有关的如下进程,找到后会将其终止:
MCSHIELD.EXE
REGSVC.EXE
病毒还会终止名为Kingsoft Antivirus 的服务。
其他细节
该病毒会在其遍历过的每个文件夹中生成一个名为“ _DESKTOP.INI”的非恶意纯文本文件。这个文本文件中包含病毒感染日期。